Linha superior
A Rockstar Games - os desenvolvedores da popular série de videogames Grand Theft Auto - foi hackeado apenas alguns dias depois que os servidores da gigante Uber foram alvo de uma violação semelhante, supostamente pelo mesmo hacker que usou um processo chamado engenharia social, um modo de ataque altamente eficaz que se baseia em enganar os funcionários de uma empresa visada e pode ser difícil de proteger contra.
Um suposto hacker adolescente conseguiu violar o banco de dados interno da Rockstar Games e vazou … [+]
AFP via Getty Images
principais fatos
Semelhante ao hack Uber, o hacker que atende pelo pseudônimo “TeaPot” alegou que obteve acesso às mensagens internas da Rockstar Games no Slack e ao código inicial para sua sequência não anunciada de Grand Theft Auto por ganhando acesso às credenciais de login de um funcionário.
Embora os detalhes exatos da violação da Rockstar não sejam claros, no caso do Uber o hacker afirmou ele se disfarçou de funcionário de TI da empresa e convenceu um funcionário a compartilhar suas credenciais de login.
Ao contrário de outros modos de ataque que dependem de falhas na arquitetura de segurança de uma empresa, a engenharia social tem como alvo as pessoas e depende de manipulação e engano.
Especialistas competir que os humanos ainda continuam sendo o “elo mais fraco” da segurança cibernética, pois podem ser facilmente enganados ao clicar em links maliciosos ou compartilhar suas credenciais de login.
Ao contrário de outros métodos, a engenharia social também é eficaz em derrotar certos medidas de segurança como senhas de uso único e outros métodos de autenticação multifator.
Citações cruciais
Rachel Tobac, CEO da empresa de segurança cibernética SocialProof Security e especialista em engenharia social twittou: “A dura verdade é que a maioria das [organizações]
no mundo pode ser hackeado da mesma forma que o Uber foi hackeado... Muitas [organizações] ainda não usam [Autenticação Multifator] internamente... & não usam gerenciadores de senhas (o que leva a salvar credenciais em locais facilmente pesquisáveis uma vez por intruso entra).”
Contexto Chave
A engenharia social tem sido usada para realizar vários hacks de alto perfil nos últimos anos, incluindo o seqüestro de mais de 100 contas proeminentes no Twitter – entre elas Elon Musk, ex-presidente Barack Obama, Bill Gates e Kanye West – que foram usadas para promover um golpe de bitcoin. Os hacks foram realizados por adolescentes que conseguiram acessar as redes internas do Twitter visando “um pequeno número de funcionários” de acordo com a empresa de mídia social. No mês passado, Cloudflare e Twilio também foram alvos de um tipo de ataque de engenharia social chamado “phishing”, onde os funcionários foram induzidos a abrir uma mensagem disfarçada para parecer comunicação legítima da empresa, mas que incluía um link malicioso. Twilio, que fornece serviços de mensagens e autenticação de dois fatores, divulgados que os hackers conseguiram violar os bancos de dados internos da empresa e obtiveram acesso a um número não revelado de contas de clientes. Cloudflare, uma rede de entrega de conteúdo online, notado os hackers não conseguiram acessar sua rede interna.
Contras
Ao contrário de Twilio, Uber e Rockstar, que tiveram seus sistemas internos violados, a Cloudflare conseguiu evitar esse destino devido ao uso de chaves de segurança baseadas em hardware. Ao contrário de outros métodos de autenticação multifator, como mensagens de texto e senhas de uso único, as chaves de segurança de hardware são muito mais seguras contra ataques de engenharia social. Um funcionário visado pode ser induzido a compartilhar os detalhes de uma mensagem de texto ou uma senha de uso único, mas o hacker precisa obter a posse física de uma chave de segurança de hardware para obter acesso a uma conta. As chaves de segurança de hardware vêm em várias formas, incluindo pen drives ou dongles Bluetooth, e precisam ser conectadas ou conectadas a um dispositivo que está tentando obter acesso a uma conta protegida. Os hackers que obtêm acesso às credenciais dos funcionários não poderão acessar suas contas que usam essa forma de segurança sem obter acesso físico às suas chaves. Em 2018, o Google anunciou que nenhum de seus 85,000 foi alvo de um ataque de phishing com sucesso depois que ele exigiu o uso de chaves de segurança físicas um ano antes.
Grande número
323,972. Esse é o número total de reclamações de ataques de engenharia social recebidas pelo FBI em 2021 – quase três vezes maior do que em 2019 – de acordo com o relatório anual da agência. Relatório de crime na Internet. Nesse período, os hackers conseguiu roubar um total de US$ 2.4 bilhões comprometendo contas de e-mail comercial por meio de técnicas de engenharia social.
O que prestar atenção
Jason Schreier, da Bloomberg, especulou que o recente hack pode levar a Rockstar a colocar restrições no trabalho remoto. Especialistas em segurança cibernética têm argumentado anteriormente que o trabalho remoto pode exigir mais precauções, pois deixa os funcionários mais vulneráveis a ataques de engenharia social.
Leitura
Uber Hacker alega ter hackeado jogos da Rockstar e lança vídeos de GTA 6 (Forbes)
Fonte: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- jogos/